专利名称:允许在自然辐射环境中使用可编程元件的设备的制作方法
技术领域:
本发明涉及一种允许在自然辐射环境中使用可编程元件的设备。本发明尤其被应 用于FPGA (现场可编程门阵列)类型的元件。
背景技术:
本辐射源与太阳银河系辐射有关。辐射流根据海拔高度和纬度,受例如构成障碍 和过滤器的磁层、大气层和范艾伦辐射环的作用而改变。该辐射在空间中和高海拔高度上 主要包含重离子和质子,并且在大气层中,中子占主导。在海洋中,中子流大约比海拔10千米处的少300倍。然而,即便在地表上,有关该 辐射的问题,被称为“SEE”(Single Event Effet单粒子效应的缩写),出于组成元件日益 融合的原因,在几个系统中已被验证。这一问题很可能在即将到来的几年中变成一个挑战。与辐射有关的单粒子效应对应于由单粒子通过而触发的现象。在这些效应中,将 已知的瞬变缺陷或软错误区别命名为,“SEU”(Single Event Upset单粒子翻转的缩写), 它在于在不改变电子元件的情况下,在高能量粒子作用下,该电子元件提供的信息被非期 望地改变。与重离子相比,中子不直接释放它们的能量。它们需要与硅发生作用以生成二级 离子。所有离子在硅中释放电荷并在该电子元件中产生一个SEE。要求机载计算机所具有的计算集成化和强大能力,强迫要求复杂元件如FPGA、 CPLD(复杂可编程门器件的缩写)和ASIC(专用集成电路的缩写)的使用。FPGA在电子学中应用非常广泛,因为它提供一个非常有利的资源/成本比例。 FPGA技术根据以下三种类型被分类一反熔丝,一闪存(flash),和一基于RAM(随机存取存储器的缩写)。当前,为了缓解自然辐射环境中被称为SEU(单粒子翻转事件的缩写)的宇宙中子 影响的问题,提到的前两项技术经常被使用,由于其容错性。为了预防自然辐射在电子技术中的影响,其中一种解决方案是使用反熔丝或闪存 技术的FPGA元件。这些元件,得益于它们的技术和光电元件光刻,它们对“位翻转”具有非 常强的鲁棒性,并且,其结果是不需要任何保护。然而它们的缺陷包括一如反熔丝的某些技术不允许元件重编程;然而,随情况进展,有必要开焊和更换 元件;一没有几个供应商因此差异管理存在困难;一由于技术原因,其性能表现,尤其是频率方面,是有限的;一由于技术原因,所推荐的矩阵是有限的;一工具缺乏新意,因为它们拥有较少的用户因此拥有较少的校正器(调试器)。
4
基于RAM类型的FPGA,由于它的技术,非常高效,提供大量逻辑矩阵和(根据要 求)现场重编程。为此,它显著用于工业中。然而,它具有对“位翻转”,换而言之二进制单 元或位数值变化,非常敏感这一缺陷,这目前使得它在辐射环境中的使用变得困难。文件US 7 036 059描述一个配备冗余逻辑函数和在这些逻辑函数之一中探测错 误的装置的可编程元件。然而,逻辑函数冗余造成可编程元件的复杂性和高成本。
发明内容
本发明旨在消除这些缺陷。为此,根据第一方面,本发明旨在一种允许在辐射环境中使用可编程元件的设备, 包括一探测所述可编程元件中由于辐射造成的错误的装置,一在探测错误时阻塞所述元件的至少一个输出的装置以及一校正所述错误的装置。得益于这种设备,可获得能够使用基于RAM类型的FPGA元件的容错(Fau 11 Tolerant)架构。事实上,上面简要叙述的装置,允许探测可编程元件上的危害的影响,并且 在有危害的情况下,允许在错误被校正期间,禁止将信息散发到该元件外部。本发明可尤其应用在如航空、空间、核能、汽车、医药或铁道系统等关键电子系统 中。根据特定特征,本发明目的的设备,如上简述,包括对保存在所述元件中的数据进 行双重存储的装置。因此,在使用一个存储器来保护数据的情况下,通过在存储器中双重保 护数据,能够迅速恢复稳定的运行状态。根据特定特征,错误探测装置比较至少两个数据存储。因此,该错误探测装置包含 再次读取元件存储器内容并且与参考内容进行比较的装置。这个再次读取以及这一比较已 知为“回读(Readback) ”。根据特定特征,阻塞装置适于阻塞所述元件实现的逻辑函数的数字输出。事实上, 这些是在这些输出上发射的、在元件上位翻转的情况下可能会被干扰的信号。 根据特定特征,错误探测装置包含冗余数据验证装置。根据特定特征,错误校正装置使用冗余数据。这些冗余数据允许校验每一数据块中可编程元件保存的数据的完整性。每一个数 据块都被关联有一个被称为“校验码”,例如CRC码(Cyclic Redundancy Check循环冗余码 校验的缩写)的校验模块。根据特定特征,错误校正装置适于执行元件的完全重新配置。注意到,FPGA的完 全重新配置可利用其参考矩阵被执行。这是为了校正探测出的错误并且初始化元件。FPGA 的输出数据则仅在对应于探测延时(d6lai)和系统重启延时的一段期间内还保持错误。根据特定特征,错误校正装置适于执行元件的部分重新配置。这个部分重新配置 对应于已经探测出错误的矩阵的局部校正。这一重新配置不要求初始化系统。在校正之后, FPGA恢复正常运行。根据特定特征,阻塞装置包含在缓冲存储器中保存由该元件和/或连接在该元件 与该缓冲存储器之间的几个元件生成的数据的装置。在这个缓冲存储器中的保存已知名为“缓冲(Bufferisation),,。根据特定特征,保存装置拥有大于或等于错误探测装置探测错误最大延时的等待 时间。因此,没有任何错误数据从该设备输出。根据特定特征,本发明目的的设备,如上简述,包含错误连续性探测装置,以及元 件存储区域的去活(c^sactivation)装置,它适于在这种探测出错误连续性的情况下,禁 止使用包含连续错误的存储区域。因此禁止一部分无法修复、损坏的存储器的使用。根据特定特征,本发明目的的设备,如上简述,包含错误连续性探测装置和在探测 到错误连续性的情况下的错误探测装置去活装置。因此避免安装了该元件的系统的阻塞。根据特定特征,本发明目的的设备,如上简述,包含诊断装置,它适于计数由错误 探测装置探测出的错误。这样一种诊断装置已知被称为“BITE”。根据第二方面,本发明针对一种允许在辐射环境中使用可编程元件的方法,它包 含一在所述可编程元件中探测由于辐射造成的错误的步骤,一在错误探测时阻塞至少一个所述元件输出的步骤,以及一校正所述错误的步骤。根据第三方面,本发明针对一种允许在辐射环境中使用实现了至少一个逻辑函数 的可编程元件的设备,它包括-通过使用在至少一个保存由至少一个所述逻辑函数使用的数据的备份的参考存 储空间中保存的数据,在保存确实用于实现设备的每一个所述逻辑函数的数据的工作存储 空间中探测错误的装置,-阻塞所述元件的至少一个逻辑函数的至少一个输出的装置,在该输出上,由所述 逻辑函数使用的数据中的错误被所述探测装置探测出,和-校正在所述工作空间中探测出的每一个错误的装置。根据特定特征,该阻塞装置包含在缓冲存储器中保存由该元件和/或由连接在该 元件和缓冲存储器之间元件生成的数据的装置。根据特定特征,该保存装置拥有一段大于或等于错误探测装置探测错误最大延时 的等待时间。根据特定特征,本发明目的的设备,如上简述,包含错误连续性探测装置和适于在 这样探测出错误连续性的情况下,禁止使用包含连续错误的存储区域的元件存储区域去活
直ο根据特定特征,本发明目的的设备,如上简述,包含错误连续性探测装置,和在这 样错误连续性探测的情况下,错误探测装置的去活装置。根据特定特征,错误连续性探测装置包含适于计数错误探测装置探测出的错误的 诊断装置。根据特定特征,可编程元件不能读取参考存储空间。根据特定特征,本发明目的的设备,如上简述,包含适于在未探测出错误的一个待 保护数据完整读取周期之后对调工作存储空间和参考存储空间的对调装置。根据特定特征,本发明的目标设备,如上简述,包含一个适于在工作存储空间中探 测出错误之后对调工作存储空间和参考存储空间的对调装置。
6
本发明第一和第三方面的目的设备的特定特征也分别是本发明第三和第一方面 的目的设备的特定特征。根据第四方面,本发明针对一种允许在辐射环境下使用实现至少一个逻辑函数的 可编程元件的方法,它包括-通过使用保存在至少一个保存由至少一个所述逻辑函数使用的数据的备份的参 考存储空间中的数据,在存储确实用于实现设备的每一个所述逻辑函数的数据的工作存储 空间中探测错误的步骤,-阻塞所述元件的至少每一个逻辑函数的至少一个输出的步骤,该输出上,由所述 逻辑函数使用的数据中的错误在所述探测步骤中被探测出,以及-校正在所述工作空间中被探测出的每一个错误的步骤。根据第五方面,本发明旨在一种信息系统中可加载的计算机程序,所述程序包含 允许实施,如上简述,在第一和第三方面中任一个方面所述的本发明目的的方法的指令。本发明第二至第五方面的目的方法、设备和计算机程序的优势、目的和特征与本 发明第一方面的目的设备的相似,如上简述,它们不在此赘述。
本发明的其他优势、目的和特征将在以下结合附图以非限制性实施例给出的描述 中清晰地显出,其中一图1,以示意图形式,表示本发明目的的设备的一种具体实施方式
并且—图2,以逻辑图形式,表示在本发明目的的方法的一种具体实施方式
中实施的各步骤。
具体实施例方式如在图1中观察到,在本发明目的的设备的一种具体实施方式
下,可编程元件105 具有数据输入110和数据输出115,数据输出115连接到具有数据输出125的缓存。错误探 测和校正装置130通过链接135被连接到元件105、缓存120和存储器140,该存储器本身 连接到元件105。可编程元件105,在所描述和表示的实施方式下,是基于RAM类型的FPGA,FPGA元 件的配置矩阵是来自RAM,换而言之易失存储器技术的。元件105实现在电子或信息系统 (未表示出)中已知类型的逻辑函数。这一元件105可具有由于元件105的辐射环境而造 成的二进制值改变或“位翻转”的这些已改变的资源。数据输入110表示元件105的逻辑函数数字输入。数据输出115表示元件105的 逻辑函数数字输出。这些输出,在由于元件105的辐射环境而造成的二进制值改变,或“位 翻转”的情况下,可能被干扰。错误探测和校正装置130适于在由于元件105的辐射环境而造成的二进制值改变 之后,探测元件105中突如其来的错误。这一错误探测和校正装置130可利用,例如一重读元件105的内容并与存储器140中保存的参考矩阵比较,如上所述 (“Readback” 回读),—或者由包含冗余数据的校验码,例如循环冗余码CRC相对于它们参考的数据块,的验证。事实上,FPGA元件105上的SEU可能造成一个功能错误,而这一错误可能扩散到 输出115和/或数据存储器140上。为了减轻存储器140中的数据变异问题,将其存储空间分割成N个部分,一个工作 空间和N-I个参考空间。元件105无法接入参考空间,它因此只能“污染”存储器140的工 作空间。错误探测和校正装置130允许在FPGA元件105中探测错误、通过链接135和缓冲 区120阻塞输出,并且管理元件140的工作和参考空间。一个受污染的工作空间暂时不被 激活,随后可能重新变成一个参考空间(当,在校正错误后,在这一空间中再没有连续和永 久错误时)。在每一个参考空间中,每一个待保护数据被一次写入而探测和校正装置130读取 工作空间的每一个数值并且当它与对应的参考值不同时判定它是错误的。注意到,若能够, 在连续周期中,容忍“η”个数量的单位错误或“位翻转”,实现每一个二进制数据大于或等于 “η+l”个数量的备份。在元件105中待保护数据的一个完全读周期之后,未探测出错误的情况下,将其 中逻辑函数所用的数据已被读取的工作空间,与待保护数据的复制件已被保存其中的参考 空间之一,对调。同样地,在工作空间中探测出错误后,将一个参考空间切换成工作空间。在各种变型中,探测和校正装置用已知方式使用校验码以探测并且,在必要时,校 正错误数值。在这两种情况下,在探测错误的时刻和校正错误的时刻,链接135传送禁止读取 缓存120的信号。可注意到,探测和校正装置130也能够,基于存储在存储器140中的数据,对由于 原件105的矩阵的一部分或全部重新配置而被探测出的每个错误执行校正。在完全重新配置的情况下,元件105的重新编程利用其参考矩阵进行。这是为了 校正错误并重新初始化系统。元件105的输出数据则在一个对应于错误探测延时和系统重 启延时总和的最大时段期间保持错误。在部分重新配置的情况下,在错误被探测出的区域,执行矩阵的局部校正。这一重 新配置不要求系统的重新初始化。在校正之后,元件105恢复正常运行。元件105的输出 数据则在一个对应于错误探测延时和局部校正延时总和的最大时段期间保持错误。缓存120允许在有限时长保存,或“缓冲存储”,由元件105或由连接在缓存120和 元件105之间的元件生成的数据。优选地是,数据在存储器120中的存储时长或等待时间, 大于或等于探测装置130探测错误的最大延时。优选地是,错误探测和校正装置130适于探测元件105的配置矩阵区域是否具有 一个被更改(翻转)的二进制数值。在这样一种探测情况下,探测装置能够禁止这一存储 区的使用,换而言之去活这一存储区,或者能够去活错误探测。在这两种情况下,它涉及开 禁(d6bloquer)系统的运行。优选地是,错误探测和校正装置130适于计数错误并向SEU提供特别诊断(BITE)。虽然,在上述的本发明目的的设备的一种具体实施方式
的描述中,同一装置130 同时实现以下功能
一探测可编程元件105中由于辐射造成的错误,一在探测出错误时,控制(controle )元件105的至少一个输出的阻塞,并且一校正每一个探测出的错误,一校验元件105的完全和部分重新配置,一探测错误的连续性,一在探测出错误连续性时,去活元件存储区域以禁止使用包含连续错误的存储区 域一在探测出错误连续性时,去活错误探测装置,并且一在计数探测出的错误的同时进行诊断,这些功能在其他实施方式中能够由多个装置来实现。如在图2上所见,为了实施本发明目的的方法的一种具体实施方式
,首先,以已知 的方式,执行一个系统配置和启动的步骤205。注意错误探测和/或校正是否使用至少一个 参考空间。从步骤205开始且当任何写入待保护数据作时,在一个参考空间中执行每一份复制。随后,在步骤210期间,对元件105保存的待保护数据执行一个验证循环。在步骤 215期间,确定是否探测出至少一个错误。若无,进行到步骤210。若已探测出一个错误,在 步骤220期间,对来自元件105的数据输出进行阻塞,这里通过阻塞对缓存120存储的数据 的读取。随后,在步骤225期间,确定完全重新配置是否,根据由错误探测和校正装置130 实施的错误校正模式,将被执行。若是,返回到步骤205。若不是,在步骤230期间,例如通 过使用至少一个存储在参考空间或一个部分重新配置中的参考值,执行错误校正。随后,在 步骤235期间,开禁在步骤220中被阻塞的输出。该系统则重新运行。在步骤240期间,确定至少一个待保护二进制数据的持续损坏是否被察看到。若 不是,返回到步骤210。若是,在步骤245期间,着手开禁系统。例如,禁止使用包含连续错 误的数据的存储区域或停止验证该元件的内容。因此,探测错误连续性并且去活元件的存 储区域,以禁止包含至少一个连续错误的存储区域的使用。因此禁止一部分无法修复的损 坏存储器的使用。在变型中,当一个错误的连续性探测阻塞时,去活错误探测。如在阅读上述描述时所理解的那样,本发明的实施允许实现一个容错并且使用对 辐射敏感的元件的电路架构,例如基于RAM的FPGA。
权利要求
1.一种允许在辐射环境中使用实现至少一个逻辑函数的可编程元件(10 的设备,其 特征在于包括通过使用在至少一个保存由至少一个所述逻辑函数使用的数据的备份的参考存储空 间中保存的数据,在保存确实用于实现设备的每一个所述逻辑函数的数据的工作存储空间 中探测错误的探测装置(130),阻塞所述元件的至少一个逻辑函数的至少一个输出(125)的阻塞装置(130,135, 120),在该输出上,由所述逻辑函数使用的数据中的错误被所述探测装置探测出,和校正在所述工作空间中探测出的每一个错误的装置(130,140)。
2.根据权利要求1所述的设备,其特征在于阻塞装置(130,135,120)包括在缓冲存储 器(120)中保存由所述元件和/或由连接在所述元件和所述缓冲存储器之间的元件生成的 数据的保存装置。
3.根据权利要求2所述的设备,其特征在于保存装置具有大于或等于错误探测装置探 测错误的最大延时的等待时间。
4.根据权利要求1至3中任一项所述的设备,其特征在于包括错误连续性探测装置 (130)和元件存储区域去活装置(105),去活装置能够在这种探测出错误连续性的情况下, 禁止使用包含连续错误的存储区域。
5.根据权利要求1至4中任一项所述的设备,其特征在于它包括错误连续性探测装置 (130)和在探测到错误连续性的情况下的错误探测装置去活装置(130)。
6.根据权利要求4或5所述的设备,其特征在于所述错误连续性探测装置(130)包括 能够计数由错误探测装置探测出的错误的诊断装置(130)。
7.根据权利要求1至6中任一项所述的设备,其特征在于可编程元件(10 不能访问 参考存储空间。
8.根据权利要求1至7中任一项所述的设备,其特征在于包括能够在一个待保护数据 的未探测出错误的完整读取周期之后对调工作存储空间和参考存储空间的对调装置。
9.根据权利要求1至8中任一项所述的设备,其特征在于包括能够在工作存储空间中 探测出错误之后对调工作存储空间和参考存储空间的对调装置。
10.一种允许在辐射环境中使用实现至少一个逻辑函数的可编程元件的方法,其特征 在于包括通过使用保存在至少一个保存由至少一个所述逻辑函数使用的数据的备份的参考存 储空间中的数据,在存储确实用于实现设备的每一个所述逻辑函数的数据的工作存储空间 中探测错误的步骤010,215),阻塞所述元件的至少每一个逻辑函数的至少一个输出(125)的阻塞步骤020),该输 出上,由所述逻辑函数使用的数据中的错误在所述探测步骤中被探测出,以及校正在所述工作空间中被探测出的每一个错误的步骤(225,230)。
11.根据权利要求10所述的方法,其特征在于,在阻塞步骤(220)期间,在缓冲存储器 (120)中保存由所述元件和/或由连接在所述元件和所述缓冲存储器之间的元件生成的数 据。
12.根据权利要求10或11所述的方法,其特征在于包括探测错误连续性的步骤,和对于错误连续性探测的至少一部分,禁止使用包含连续错误的存储区域的元件存储区 域去活步骤(105)。
13.根据权利要求10至12中任一项所述的方法,其特征在于包括 探测错误连续性的步骤,和对于错误连续性探测的至少一部分,根据所探测出的错误的数量,去活错误探测装置 的步骤。
14.根据权利要求10至13中任一项所述的方法,其特征在于包括在未探测出错误的待 保护数据完整读取周期之后,对调工作存储空间和参考存储空间的步骤。
15.根据权利要求10至14中任一项所述的方法,其特征在于包括在工作存储空间中探 测出错误之后,对调工作存储空间和参考存储空间的步骤。
全文摘要
一种允许使用在辐射环境中实现至少一个逻辑函数的可编程元件(105)的设备,其特征在于包括通过使用在至少一个保存由至少一个所述逻辑函数使用的数据的备份的参考存储空间中保存的数据,在保存确实用于实现设备的每一个所述逻辑函数的数据的工作存储空间中探测错误的装置(130),阻塞所述元件的至少一个逻辑函数的至少一个输出的装置(130,135,120),在该输出上,由所述逻辑函数使用的数据中的错误被所述探测装置探测出,和校正在所述工作空间中探测出的每一个错误的装置(130,140)。
文档编号G06F11/10GK102084342SQ200980108969
公开日2011年6月1日 申请日期2009年3月12日 优先权日2008年3月14日
发明者B·格里蒙邦特, S·哈左 申请人:空中客车运营公司